东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

输入法杀手(又名“犇牛”)trojan-downloader.win32.edog.hl

输入法不见了怎么办?最近各大网站论坛关于输入法消失的求助信息猛增,一时间“输入法”成为热门的关键字。不同的这次不是哪个厂商推出了新的输入法程序,而是黑客想借助“输入法”盗取用户账号密码。近日微点主动防御软件自动捕获了一种专门破坏电脑输入法的“输入法杀手”病毒,该病毒直接破坏电脑的输入法程序,致使无法选择和切换汉字输入法,严重影响用户正常的文字办公。电脑感染该病毒后,除输入法遭到破坏,病毒还假借“输入法”之名,随计算机自动启动,然后自动连接网络,到病毒作者指定的网站下载大量盗号木马程序,盗取用户游戏帐号、虚拟财产,实现赚取“黑金”的目的。

“输入法杀手”病毒特征:

 传播方式:通过网页挂马、文件捆绑、共享文件夹、u盘等方式传播。

 特征

 1电脑桌面的输入法图标不见了,导致无法选择和切换输入法,用户无法输入文字,即使在区域和语言设置—语言—详细信息—文字服务和输入语言—设置里面设置后也看不到图标,输入法也无法正常切换;

(图一:中毒前) 

  

(图二:中毒后)

 

2、用户电脑上程序运行速度明显变慢,系统提示虚拟内存不足;

 (图三:中毒后系统提示)

3、部分安全软件被关闭,迅雷等下载软件无法正常使用,网络速度明显变慢;

4、 除系统盘符外所有盘符下包含exe文件的文件夹下均出现usp10.dll病毒文件,导致用户即使重做系统也摆脱不了病毒的魔爪。(特别备注:usp10.dll文件利用“windows”机制使用户执行exe程序同时,加载“usp10.dll”,“usp10.dll病毒文件”将自动连网下载病毒。)

5、病毒在后台自动连接网络,到病毒作者指定网站下载大量盗号木马程序,用于盗取主流网络游戏帐号(完美系列游戏、魔兽世界、梦幻西游、大话西游onlineii、剑侠世界、封神榜ii、魔域等)。

“输入法杀手”病毒解决办法:

方法一:安装微点主动防御软件。(http://www.micropoint.com.cn/mpdownload.php

方法二:手工处理办法

步骤一、开机按f8进入安全模式,然后调出系统的任务管理器,结束ctfmon.exe进程;

步骤二、使用u盘到其他正常主机系统下拷贝c:\windows\system32\ctfmon.exe、c:\windows\system32\drivers\beep.sys,然后插入中毒主机的安全模式系统下,把文件同时拷贝到c:\windows\system32\和c:\windows\system32\dllcache\目录下替换原文件;

步骤三、开始运行输入regedit打开

hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced\找到hidden项修改值为1,superhidden项修改值为0,showsuperhidden项修改值为1;

步骤四、打开资源管理器,对硬盘进行全盘搜索usp10.dll(文件类型所有文件和文件夹),把搜索结果中除系统盘符目录的其他盘符目录下所有usp10.dll进行手工删除处理;

步骤五、重复步骤四搜索oiiuasdfh.dll文件进行手工删除处理;

步骤六、清空系统和ie临时文件目录下所有文件,并清空c:\windows\system32\drivers\etc\host文件内容。

微点专家建议:

1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过文件捆绑的方式进入您的系统。

2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。

3、开启windows自动更新,及时打好各种漏洞补丁。

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御软件将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御软件都能够有效清除该病毒。

更多“输入法杀手”病毒的详细分析请参考:

 

捕获时间

2009-2-3

病毒摘要

该样本是使用“vc ”编写的木马下载器,由微点主动防御软件自动捕获,采用“fsg”加壳方式,试图躲避特征码扫描,加壳后长度为“39,245 字节”,图标为“”,病毒扩展名为“exe”,主要通过“网页木马”、“移动存储介质”等方式传播,病毒主要目的为下载大量木马病毒至用户主机。



感染对象


windows 2000/windows xp/windows 2003

传播途径

网页木马、文件捆绑

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);

 


          图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"trojan-downloader.win32.edog.hl”,请直接选择删除(如图2)。


          图2   微点主动防御软件升级后截获已知病毒



对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。

病毒分析

  该样本程序被执行后,将建立名为“puuyt”的互斥体,遍历以下进程

 

 

  
  kavstart.exe
  kissvc.exe
  kmailmon.exe
  kpfw32.exe
  kpfwsvc.exe
  kwatch.exe
  ccenter.exe
  ras.exe
  rstray.exe
  rsagent.exe
  ravtask.exe
  ravstub.exe
  ravmon.exe
  ravmond.exe
  avp.exe
  360safebox.exe
  360safe.exe
  thunder5.exe
  rfwmain.exe
  rfwstub.exe
  rfwsrv.exe


  若发现以上进程,将释放动态库文件“oiiuasdfh.dll”至系统目录%systemroot%目录下,并调用系统“rundll32.exe”使用参数“enumpagefile”加载“oiiuasdfh.dll”,加载成功后,提升权限至“sedebugprivilege”,修改系统文件“beep.sys”,恢复ssdt,使部分安全软件的主动防御功能失效,尝试调用下列命令进行关闭“avp.exe”进程:

 
  taskkill /f /t /im avp.exe


  利用函数“terminateprocess”尝试关闭找到的进程,在注册表“hklm\software\microsoft\windows nt\currentversion\image file execution options\”下添加发现的进程与“thunder5.exe”,进行映像劫持,键值均为:debugger,数据均指向:svchost.exe。
  若发现“safeboxtray.exe”获取360保险箱路径,复制“oiiuasdfh.dll”至360保险箱目录下,重命名为“rptup.dll”与“usp10.dll”,以参数“/u”打开“safeboxtray.exe”进程,配合模拟点击,使360保险箱自我保护失效,实现保险箱卸载。
  若发现“360tray.exe”则修改注册表,关闭360安全卫士的监控,相关注册表如下。

 

 
  项:hklm\software\360safe\safemon
  键: execaccess
  指向数据:0
  键: monaccess
  指向数据:0
  键: leakshowed
  指向数据:0
  键: siteaccess
  指向数据:0
  键: udiskaccess
  指向数据:0
  键: weeken
  指向数据:0
  键: arpaccess
  指向数据:0
  键: ieprotaccess
  指向数据:0


病毒还将尝试调用其卸载程序“uninst.exe”将360安全卫士卸载。

  修改注册表,修改系统设置,使系统不显示隐藏文件:

 
  键:hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced\
  值:hidden
  数据:2
  值:superhidden
  数据:1
  值:show superhidden
  数据:0


  释放动态库文件“1”至系统目录“systemdrive\tasks”,遍历除系统盘符外包括可移动磁盘的全部磁盘内的 “.exe”文件,在“*.exe”文件所在目录内复制“1”为“usp10.dll”。利用“windows”机制使用户执行程序同时,加载“usp10.dll”,“usp10.dll”将访问网络地址:“http://www.h***-2.cn/down/gr.exe”下载病毒。
  利用函数“terminateprocess”,关闭“cmd.exe”,下载病毒文件列表“http://txt.h***e.com/oo.txt”,存储至系统目录“%systemroot%\system32\sadfasdf.jpg”,“sadfasdf.jpg”内容如下:

  
  [file]       
  open=y
  url1=http://www.w**we.com/new/new1.exe
  url2=http://www.w**we.com/new/new2.exe
  url3=http://www.w**we.com/new/new3.exe
  url4=http://www.w**we.com/new/new4.exe
  url5=http://www.w**we.com/new/new5.exe
  url6=http://www.w**we.com/new/new6.exe
  url7=http://www.w**we.com/new/new7.exe
  url8=http://www.w**we.com/new/new8.exe
  url9=http://www.w**we.com/new/new9.exe
  url10=http://www.w**we.com/new/new10.exe
  url11=http://www.w**we.com/new/new11.exe
  url12=http://www.w**we.com/new/new12.exe
  url13=http://www.w**we.com/new/new13.exe
  url14=http://www.w**we.com/new/new14.exe
  url15=http://www.w**we.com/new/new15.exe
  url16=http://www1.w**we.com/new/new16.exe
  url17=http://www1.w**we.com/new/new17.exe
  url18=http://www1.w**we.com/new/new18.exe
  url19=http://www1.w**we.com/new/new19.exe
  url20=http://www1.w**we.com/new/new20.exe
  url21=http://www1.w**we.com/new/new21.exe
  url22=http://www1.w**we.com/new/new22.exe
  url23=http://www1.w**we.com/new/new23.exe
  url24=http://www1.w**we.com/new/new24.exe
  url25=http://www1.w**we.com/new/new25.exe
  url26=http://www1.w**we.com/new/new26.exe
  url27=http://www1.w**we.com/new/new27.exe
  url28=http://www1.w**we.com/new/new28.exe
  count=28


通过函数“urldownloadtofile”下载列表上的病毒文件,释放随机名动态库文件“2f9a09.dll”,利用函数“winexec”执行下载的病毒文件。

  创建驱动文件“1696”至“%temp%”目录,修改注册表,创建服务项,加载“1696”,相关注册表项如下:

 
  键:hkey_local_machine\system\currentcontrolset\services\io
  值:type
  数据:service_kernel_driver
  值:start
  数据:service_demand_start
  值:imagepath
  数据:%temp%\1696
  值:displayname
  数据:io


   “1696” 为病毒制造者编写的磁盘过滤驱动,病毒将修改“ctfmon.exe”将部分代码写入其中,操作完成后将删除文件及服务。
  访问网络地址下载:“http://txt.h***e.com/ad.jpg”,随后病毒将使用文本文件“ad.jpg”,替换系统host文件。

 

免费试用
下  载

网站地图